BSC에서 MSCST 스마트 계약을 대상으로 발생한 플래시론 공격으로 인해 releaseReward() 함수에 대한 접근 제어가 부족하여 약 13만 달러의 손실이 발생한 것으로 추정됩니다.
온체인 모니터링에 따르면, 누락된 ACL 취약점으로 인해 공격자는 팬케이크스왑 유동성 풀에서 GPC 토큰 가격을 조작하여 손실을 발생시켰습니다.
주요 내용
- BSC의 MSCST는 플래시론 공격을 받아 약 13만 달러의 손실을 입었습니다.
- 원인: releaseReward()에 접근 제어가 누락되었습니다.
- GPC의 가격은 PancakeSwap 풀 0x12da에서 조작되었습니다.
공격 발생 경위와 피해 규모.
BlockSec Phalcon은 BSC 상의 MSCST라는 정체불명의 스마트 계약이 플래시론 공격을 받아 약 13만 달러의 손실이 발생했다고 보고했습니다.
해당 사건은 12월 29일에 보고되었습니다. 모니터링 경고에 따르면 공격자는 빠른 차입 메커니즘을 악용하여 블록 내에서 거래를 실행함으로써 유동성 및 토큰 가격 조작을 용이하게 했습니다.
영향을 받은 자산은 GPC 토큰 및 팬케이크스왑의 유동성 풀과 연결되어 있으며, 해당 자산의 가격은 공격 중에 차익 실현을 용이하게 하기 위해 조작된 0x12da로 식별됩니다.
기술적 취약점: releaseReward() 함수에 접근 제어 기능이 누락됨
이 취약점은 MSCST의 releaseReward() 함수에 접근 제어(ACL) 기능이 없어서 공격자가 해당 함수를 불법적으로 호출할 수 있다는 점에서 비롯됩니다.
민감한 기능에 무제한 호출 권한이 부여되면 공격자는 보상 흐름 및 관련 매개변수를 조작하여 연속적인 플래시론 거래에서 이득을 극대화할 수 있습니다.
이 경우, 누락된 ACL 취약점으로 인해 PancakeSwap(0x12da) 풀에서 GPC 가격이 조작되어 약 13만 달러의 손실이 발생한 것으로 추정됩니다.
